摘要
随着基于文本可见元数据(如工具名称、描述和返回消息)选择和链接第三方工具的工具使用LLM代理日益增多,本文指出这种便利性带来了供应链攻击的风险。恶意的MCP工具服务器可以与正常工具一同注册,并诱导代理进入过度思考循环,其中单独看似简单或合理的工具调用组合成循环轨迹,导致端到端的token数量和延迟显著增加,而单一步骤看起来并无异常。我们将其形式化为一种结构性的过度思考攻击,区别于单纯的token级冗余。我们在三个服务器上实现了14个恶意工具,触发重复、强制优化和分心等行为。在异构注册表和多个具备工具能力的模型中,该攻击导致严重的资源放大(高达142.4倍的token数量),并可能降低任务效果。最后发现,解码阶段的简洁性控制无法可靠地防止循环的产生,表明防御应关注工具调用结构而非仅限于token本身。
AI 推荐理由
论文聚焦于LLM代理使用工具时的安全风险,特别是恶意工具引发的循环问题,属于技能学习中的工具调用与安全机制。
论文信息